Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
戻る |
次へ |
この章の内容は次のとおりです。
Oracle Authorization Policy Manager(APM)は、FusionアプリケーションやJ2EEアプリケーションおよびこれらのアプリケーションに各種サービスを提供するOracle Fusion Middlewareコンポーネントの認可を管理する一元化された単一のコンソールです。アプリケーション管理者には、アプリケーションの各種認可ポリシーを管理するためのコンソールが1つあります。
アプリケーション・ポリシーの管理には、WLSTコマンドまたはFusion Middleware Cotrolのいずれかを使用できます。WLSTコマンドを使用するには、コマンドを手動で実行する必要があります。Fusion Middleware Controlにはグラフィカル・ユーザー・インタフェースが用意されていますが、こちらはいくぶん複雑なツールです。低レベルのセキュリティ・アーティファクトを使用し、権限クラス名やタスクフロー名などの、開発者が使用する名前と概要を把握する必要があります。
Authorization Policy Managerは、次の機能を実現することにより、これら2つのツールに比べてアプリケーション・ポリシーの作成、構成および管理を大幅に簡素化しています。
セキュリティ・アーティファクトのユーザーフレンドリな名前と説明。詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』の「OPSS認証モデル」の章を参照してください。
ビジネス、製品、またはアプリケーション固有のその他のパラメータによってアプリケーション・ロールを編成する方法。詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』のロール・カテゴリに関する項を参照してください。
セキュリティ・アーティファクトを検索、作成、参照、および編集するための共通のグラフィカル・インタフェース。詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』の「セキュリティ・アーティファクトの問合せ」および「セキュリティ・アーティファクトの管理」の章を参照してください。
ロールで管理できるアプリケーションのサブセットを指定する方法。詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』の「委任管理」の章を参照してください。
この項の内容は次のとおりです。
Authorization Policy Manager(APM)コンソールを使用すると、APM管理者は、認可の際に高レベルで次のアーティファクトを管理できます。
外部ロール
アプリケーション・ロール
リソース: ターゲット
ポリシー: サブジェクト、ターゲット、権限付与
その他のアーティファクトは、以下のとおりです。
資格(リソースの集約)
リソース・タイプ(リソースのメタデータの定義)
ロール・テンプレート(テンプレート・ポリシーを備えたテンプレートに基づくロールの生成)
注意: これらのアーティファクトの管理はそれぞれ異なります。たとえば、エンタープライズ・ロールは、IDおよびプロビジョニング・システムで外部で作成されます。APMはエンタープライズ・ロールに読取りレベルのサービスを提供するだけです。 |
Authorization Policy Managerを構成する前に、次の作業が行われたことを確認してください。
次のコマンドを実行して、構成ウィザードを起動します。
MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
WebLogicドメインの選択画面で、ナビゲータを使用して管理サーバーのドメイン・ホームを選択します。次に例を示します。
/u01/app/oracle/plus/admin/IDMDomain/aserver/IDMDomain/
「次へ」をクリックします。
「拡張ソースの選択」画面で、「Oracle Authorization Policy Manager」を選択します。「次へ」をクリックします。
「RACマルチ・データ・ソースの構成」画面には、ドメインで以前に構成したコンポーネントのマルチ・データ・ソースが表示されます。何も変更しないでください。
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、「次のパネルで選択したデータ・ソースをRACマルチ・データ・ソースとして構成します。」を選択します。「次へ」をクリックします。
「RACマルチ・データ・ソース・コンポーネント・スキーマの構成」画面で、すべてのマルチ・データ・ソース・スキーマを選択してから、次を入力します。
サービス名: idmedg.mycompany.com
など
1番目のOracle RACノード用に、次を入力します。
ホスト名: idmdb1.us.oracle.com
など
インスタンス名: idmedg1
など
ポート: 1521
など
「追加」をクリックして行を追加します。
2番目のOracle RACノード用に、次を入力します。
ホスト名: idmdb2.us.oracle.com
など
インスタンス名: idmedg2
など
ポート: 1521
など
「APM MDS Schema」を選択して、「ユーザー名」と「パスワード」を入力します。次に例を示します。
EDG_MDS
password
「コンポーネント・スキーマのテスト」画面で、すべてのスキーマを選択し、「接続のテスト」をクリックします。すべてのスキーマのテストが正常に完了することを確認します。「次へ」をクリックします。
「オプションの構成を選択」画面では、何も選択しないでください。「次へ」をクリックします。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
「ドメインの拡張中」画面で「完了」をクリックして、構成ウィザードを終了します。
このエンタープライズ・デプロイメント・トポロジでは、APMは管理サーバーにデプロイされます。APMのデプロイメントを完了するには、第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、IDMHOST1
でWebLogic管理サーバーを停止してから起動します。
このエンタープライズ・デプロイメント・トポロジでは、APMはアクティブ/パッシブ構成で管理サーバーにデプロイされます。APMは管理サーバーとともにフェイル・オーバーするため、IDMHOST2
でAPMをプロビジョニングする必要はありません。
第6.13項「管理サーバーの手動フェイルオーバー」の手順に従って、APMをIDMHOST1
からIDMHOST2
にフェイルオーバーします。
WEBHOST1
およびWEBHOST2
の各Webサーバーで、admin.conf
と呼ばれるファイルがORACLE_INSTANCE
/config/OHS/
component
/moduleconf
ディレクトリに作成されています。(第6.9項「管理サーバー用Oracle HTTP Serverの構成」を参照してください。)
admin.conf
を編集して、次の行をvirtual host
定義内に追加します。
<Location /apm> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location>
ファイルを編集すると、次のようになります。
NameVirtualHost *:80 <VirtualHost *:80> ServerName admin.mycompany.com:80 ServerAdmin you@your.address RewriteEngine On RewriteOptions inherit # Admin Server and EM <Location /console> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /consolehelp> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /em> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /apm> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location> </VirtualHost>
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
デフォルトでは、Oracle WebLogicサーバーは、インストールおよび構成プロセスの一部として作成されたローカルLDAPストアを使用します。通常、エンタープライズ・デプロイメントには、ユーザー、グループ、ロールおよびポリシーをプロビジョニングする一元化されたLDAPストアが必要です。したがって、Oracle Internet Directoryなどの外部LDAPストアを使用するようにOracle WebLogicサーバーを構成する必要があります。外部LDAPストアでのAPMの構成は、第18章「コンポーネントの統合」に記載されています。外部LDAPストアを使用するためのAPMの構成の手順については、第18.1項「ポリシーおよび資格証明ストアの移行」を参照してください。
注意: ドメインの一部としてOracle Identity Navigatorをすでに構成してある場合、またはOracle Adaptive Access Managerでドメインをすでに拡張してある場合は、この項をスキップできます。Oracle Adaptive Access Managerを使用してドメインを拡張する場合は、Oracle Identity Navigatorがデフォルトで選択されます。 |
Oracle Identity Navigatorは、Oracle Identity Managementのコンポーネントのランチ・パッドとして機能するように設計された管理ポータルです。これを使用すると、Oracle Identity Managementのコンソールに1つのサイトからアクセスできるようになります。Oracle Identity Navigatorは他のOracle Identity Managementのコンポーネントとともにインストールされるので、製品の検出により、その他のコンポーネントにアクセスできます。
Oracle Identity Navigatorは、Oracle WebLogic管理サーバーにデプロイされるJ2EEアプリケーションです。これは、Oracle Metadata Serviceを使用します。
Oracle Identity Navigatorのレポート機能は、Oracle Business Intelligence Publisherに依存しています。
この項の内容は次のとおりです。
第4章の説明に従って、IDMHOST1
およびIDMHOST2
に次のソフトウェアをインストールします。
Oracle WebLogic Server
Oracle Identity Management
次のコマンドを実行して、構成ウィザードを起動します。
MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
WebLogicドメインの選択画面で、ナビゲータを使用して管理サーバーのドメイン・ホームを選択します。次に例を示します。
/u01/app/oracle/plus/admin/IDMDomain/aserver/IDMDomain/
「次へ」をクリックします。
「拡張ソースの選択」画面で、「Oracle Identity Navigator」を選択します。「次へ」をクリックします。
「RACマルチ・データ・ソースの構成」画面には、ドメインで以前に構成したコンポーネントのマルチ・データ・ソースが表示されます。何も変更しないでください。「次へ」をクリックします。
「オプションの構成を選択」画面では、何も選択しないでください。「次へ」をクリックします。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
「ドメインの拡張中」画面で「完了」をクリックして、構成ウィザードを終了します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、IDMHOST1
でWebLogic管理サーバーを停止してから起動します。
このエンタープライズ・デプロイメント・トポロジでは、Oracle Identity Navigatorはアクティブ/パッシブ・モデルで管理サーバーにデプロイされます。Oracle Identity Navigatorは管理サーバーとともにフェイルオーバーするため、IDMHOST2
にOracle Identity Navigatorをプロビジョニングする必要はありません。
第6.13項「管理サーバーの手動フェイルオーバー」の手順に従ってください。
WEBHOST1
およびWEBHOST2
の各Webサーバーで、admin.conf
と呼ばれるファイルがORACLE_INSTANCE
/config/OHS/
component
/moduleconf
ディレクトリに作成されています。(第6.9項「管理サーバー用Oracle HTTP Serverの構成」を参照してください。)
admin.conf
を編集して、次の行を仮想ホスト定義内に追加します。
<Location /oinav> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location>
ファイルを編集すると、次のようになります。
NameVirtualHost *:80 <VirtualHost *:80> ServerName admin.mycompany.com:80 ServerAdmin you@your.address RewriteEngine On RewriteOptions inherit # Admin Server and EM <Location /console> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /consolehelp> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /em> SetHandler weblogic-handler WebLogicHost ADMINVHN WeblogicPort 7001 </Location> <Location /apm> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location> <Location /oinav> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location> </VirtualHost>
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
http://admin.mycompany.com/oinav
で、Oracle Identity Navigatorコンソールを使用して実装を検証します。Oracle Identity Navigatorのログイン・ページが表示されます。WebLogic管理者の資格証明を使用して、ログインします。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
データベース・バックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・アドバンスト・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
第5.6項「Web層の構成のバックアップ」の説明に従って、Web層をバックアップします。
データベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。コールド・バックアップでは、tar
などのオペレーティング・システムのツールも使用できます。
第6.14項「WebLogicドメインのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。
第7.5項「OID構成のバックアップ」の説明に従って、Oracle Internet Directoryをバックアップします。
第8.5項「Oracle Virtual Directory構成のバックアップ」の説明に従って、Oracle Virtual Directoryをバックアップします。
アプリケーション層の構成をバックアップする方法の詳細は、第19.4項「バックアップとリカバリの実行」を参照してください。